FSF cố liên hệ với Google vì sự cố gửi hơn 10.000 email spam từ tài khoản Gmail

Ý kiến trên Hacker News

• Tôi từng gặp một trường hợp ai đó mạo danh tên tôi và doanh nghiệp của tôi để thực hiện hành vi lừa đảo bằng một địa chỉ Gmail, nên đã lập báo cáo với cảnh sát rồi gửi thư bảo đảm đến bộ phận pháp lý của Google
  Quá trình này khá phiền phức và mất khoảng 3 giờ, nhưng vì không có cách nào khác nên đó là thủ tục bắt buộc

  • Chuyện này xảy ra khoảng một tháng trước. Tôi chia sẻ địa chỉ mà tôi đã gửi đến, biết đâu có ích
    Google LLC, Attn: Legal Department – Custodian of Records, 1600 Amphitheatre Parkway, Mountain View, CA 94043
    Trong thư, tôi mô tả tình huống và biện pháp tôi muốn họ thực hiện (đóng tài khoản Gmail đó và yêu cầu lưu giữ IP), đồng thời đính kèm bản in chuỗi email do nạn nhân của vụ lừa đảo gửi và báo cáo cảnh sát
    Khoảng một tuần sau, Google liên hệ lại và xác nhận rằng tài khoản đã bị đóng. Tuy vậy, tôi không biết liệu dữ liệu có được lưu giữ hay có biện pháp nào khác với các dịch vụ khác hay không
    Tôi cũng đã báo cáo lên Internet Crime Complaint Center của FBI, nhưng thành thật mà nói thì nó chỉ giống một thủ tục hình thức
  • Nghe có vẻ là một ý hay. Tôi cũng từng bị khóa tài khoản YouTube Premium nhưng vẫn tiếp tục bị tính phí
    Vì chỉ có thể liên hệ bộ phận hỗ trợ khi đăng nhập, nên cuối cùng tôi không còn cách nào khác ngoài việc đổi số thẻ tín dụng
    Thế mà khoản phí vẫn tiếp tục bị trừ, và phía công ty phát hành thẻ nói rằng tôi phải đóng hẳn tài khoản
  • Đúng là phải làm theo kiểu này. Dấu vết giấy tờ (paper trail) sẽ làm rõ mọi trách nhiệm
  • Tôi tò mò không biết trong thư bạn có nêu rõ mình là luật sư hay không. Nếu Google nhận đó là giấy tờ từ một văn phòng luật thì có thể họ đã phản ứng khác
  • Nhưng tôi thắc mắc liệu có cách nào để ngăn người đó tạo một địa chỉ Gmail mới rồi làm lại từ đầu hay không

• Tôi đã cố gửi báo cáo lạm dụng cho Google, Amazon và Microsoft rồi bỏ cuộc
  Các báo cáo bị phớt lờ, còn những nhà cung cấp lớn thì chẳng làm gì cả. Tôi hy vọng FSF sẽ đứng ra và thay đổi được điều gì đó
  Hiện giờ phần lớn spam đến từ ba nơi này. Chúng đã quá lớn đến mức gần như không thể chặn nổi
  Tôi nghĩ đây là kết quả của việc chúng ta cứ mặc kệ. Ngay trong cuộc thảo luận này chẳng phải đa số cũng đang dùng Gmail làm email chính sao?

  • Tôi đã báo cáo tài khoản bot trên YouTube suốt mấy ngày, nhưng thứ duy nhất hiện ra lại là một popup nói rằng “nếu có quá nhiều báo cáo sai, bạn có thể bị đình chỉ”
    Có vẻ không phải Google không thể xử lý bot, mà là ngay từ đầu họ chẳng buồn thử
  • Về thực chất đây là một độc quyền (monopoly). Có những người tự vận hành máy chủ mail để giữ độc lập, nhưng bên Gmail lại thường xuyên phân loại đó là spam
    Thật khó xử khi các tiêu chuẩn như DMARC lại được cấu trúc theo cách trao thêm ảnh hưởng cho các tập đoàn lớn
  • Tôi thì không, nhưng đa số mọi người không muốn trả 10 đô mỗi tháng
    Họ coi giá trị của một email chỉ vào khoảng một cốc bia

• Đội sales của công ty tôi dùng Gmass để gửi email hàng loạt, và nếu có nhiều báo cáo spam thì Google sẽ đình chỉ tài khoản
  Tôi nghĩ đây là một dữ liệu đáng tham khảo ở chỗ Google thực sự có theo dõi việc lạm dụng email

  • Thế thì khó mà gọi là “theo dõi mạnh mẽ” được. Việc một công cụ như Gmass tồn tại đã là điều đáng xấu hổ
  • Nghe như đội sales của công ty bạn về cơ bản là spammer vậy
  • Tôi tò mò không biết email mà đội sales gửi là cold email, hay là gửi cho khách hàng sẵn có
  • Vì chỉ có thể báo cáo spam từ giao diện web của Gmail, nên các tổ chức như FSF rất khó để tự gửi báo cáo
  • Nếu việc giám sát chỉ hoạt động trong Gmail, thì người dùng không dùng Gmail sẽ không có cách nào báo cáo spam xuất phát từ Gmail
    Google đang gây tác động xấu ở phía nhận của hệ sinh thái email

• Trong 2~3 năm qua, khi vận hành 4 máy chủ postfix, điều tôi quan sát được là Gmail giờ đã ở mức không thể đưa vào whitelist nữa
  Spam và phishing quá nhiều
  Ngược lại, nếu người dùng chuyển tiếp thông báo Twitter hay LinkedIn sang Gmail thì Google lại chặn IP với lý do “gửi quá nhanh”
  Đúng là một tình huống buồn cười mà cay đắng

• Gần đây tôi thấy các tài khoản email cá nhân trên máy chủ của mình nhận lượng lớn email trong thời gian ngắn
  Tất cả đều được chuyển tiếp qua Google Groups, ID nhóm thì mỗi lần lại khác và đến lúc kiểm tra sau đó thì nhóm đã bị xóa
  Nội dung email trông như các thư trả lời tự động hợp pháp, không có link độc hại hay quảng cáo gì
  Có lẽ một bot nào đó đã tạo nhóm Google, đăng ký các địa chỉ email ngẫu nhiên vào nhóm, rồi điền các địa chỉ đó vào nhiều web form khác nhau
  Tôi hiểu cơ chế hoạt động, nhưng lại thắc mắc tại sao phải tốn công như vậy

  • Gần như chắc chắn đây là subscription bombing. Đây là kiểu tấn công dội bom hộp thư đến của nạn nhân bằng các email tự động hợp pháp để họ bỏ lỡ những email quan trọng như đặt lại mật khẩu
  • Tôi cũng gặp đúng vấn đề đó. Mỗi khi ai đó trả lời, mọi người đăng ký trong nhóm đều nhận được thư đó, dẫn đến hàng loạt thư trả lời kiểu “làm ơn xóa tôi khỏi danh sách này”
    Cuối cùng tôi đã tạo quy tắc hủy đăng ký nhận thư để chặn nó

• Tôi muốn hỏi liệu đã đến lúc cộng đồng IT nên coi và chặn những dịch vụ “quá lớn để chặn” như Gmail như một thực thể thù địch hay chưa

  • Thực ra không hề tồn tại cái gọi là “cộng đồng IT”. Phần lớn người làm IT đều thuộc về Google hoặc các công ty tương tự
    Vì thế kiểu thay đổi này chỉ là câu chuyện có thể trong lý thuyết mà thôi.
    Trong thế giới vật lý, ta giải thích thay đổi bằng lực và khối lượng, còn với con người thì chỉ nói về hy vọng rằng “giá mà điều đó xảy ra”
  • Microsoft thậm chí không chuyển cả email hợp pháp đến hotmail.com
    Tôi đã cấu hình đủ SPF, DMARC, DKIM và cũng không gửi spam, vậy mà vẫn bị chặn
    Thế nên với người dùng hotmail, tôi просто gọi điện thoại liên hệ

• Tôi từng nhận cuộc gọi spam mỗi 5 phút, và kẻ tấn công đã sơ ý để lộ URL bucket trên AWS
  Sau khi tôi gửi báo cáo abuse cho Amazon, nhóm spam lập tức bị giải tán và từ đó các cuộc gọi cũng dừng hẳn
  Khi báo cáo, nếu nói rằng “có chứa nội dung khiêu dâm hoặc hình ảnh không phù hợp” thì có khi còn được xử lý nhanh hơn

• Gmail, Outlook và Salesforce chiếm 90% tổng lượng spam
  Salesforce thì tôi xử lý được bằng cách chặn ở mức mạng, nhưng Gmail và Outlook thì không có cách nào

  • Trước đây Azure hay Sendgrid cũng có nhiều spam, nhưng giờ gần như biến mất rồi
    Bây giờ Google Cloud mới là nơi chiếm 80% spam
  • Có vẻ Salesforce đã được whitelist trên Gmail. Email vô dụng nhiều khủng khiếp
  • Mailchimp cũng thế. Trong tất cả email Mailchimp mà tôi từng nhận, chưa có cái nào không phải spam

• Xét thực tế thì chỉ còn cách thuê một dịch vụ báo cáo bot để báo cáo hàng loạt các tài khoản có vấn đề

• Gần đây spam từ domain “.bc.googleusercontent.com” tăng vọt

  • Tùy cấu hình máy chủ mail của bạn, nhưng tôi thì có lẽ sẽ từ chối toàn bộ mail từ googleusercontent.com bằng mã 5xx
    Sau khi Google phân loại mailing list của OpenBSD là spam, tôi đã tự vận hành máy chủ MX
    Nếu bạn có khách hàng, hãy phân tích log để xem có traffic hợp pháp nào không, và mặc định nên đánh dấu là spam
    Nếu trong nội bộ có workflow nào đang dùng Google, hãy thay bằng VPN hoặc cách khác
    Lý tưởng nhất là chặn SMTP toàn bộ googleusercontent.com
    Tuy vậy, có thể vẫn tồn tại hệ thống cũ, nên hoặc là kiểm thử dần trong vài tháng, hoặc chặn một lần rồi xem kết quả